Autosur fuite de données : plus de 10 millions d’enregistrements exposés lors de la cyberattaque de mars 2025
En mars 2025, Autosur a été touchée par une intrusion informatique qui a mis en lumière une réalité assez brutale dans le monde de la cybersécurité : même un acteur du contrôle technique automobile, avec des millions de clients, peut voir ses bases de données s’envoler vers le darknet. L’entreprise elle-même parle d’environ 4 millions de clients concernés. Les fichiers qui ont circulé, eux, contenaient plus de 12 millions de lignes et touchaient potentiellement plus de 10 millions de personnes selon les analyses de Zataz et les données reprises sur Have I Been Pwned.
Le décalage s’explique facilement. Beaucoup de clients ont plusieurs entrées historiques, des relances commerciales, des passages répétés au contrôle. Du coup, un seul client peut générer plusieurs lignes dans le dump.
Ce qui s’est vraiment passé le 16 mars 2025
Autosur a détecté l’accès non autorisé ce jour-là. Un cybercriminel, ou un groupe, s’est emparé de données clients et les a proposées à la vente sur des forums spécialisés pour quelques milliers de dollars en Monero. L’annonce mentionnait des échantillons, et très vite les spécialistes de la threat intelligence ont confirmé la fuite.
L’entreprise a réagi en coupant les accès, en renforçant ses systèmes et en prévenant les autorités. Elle a notifié la CNIL comme l’exige le RGPD et déposé plainte auprès des services de police. L’enquête est toujours en cours, même plus d’un an après. Pas de communication publique spectaculaire sur l’identité des auteurs ni sur d’éventuelles sanctions, ce qui est assez classique dans ce genre d’affaires.
Honnêtement, ce n’est pas la première fois qu’on voit ce scénario en 2025. D’autres enseignes françaises ont subi des incidents similaires dans la même période. Le secteur des services et du commerce reste une cible de choix parce que les bases de données clients sont souvent volumineuses et pas toujours protégées avec le même niveau d’exigence que les systèmes financiers.
Le type de données qui a fuité chez Autosur
Ce qui rend cette fuite particulièrement gênante, c’est la nature des informations. On y trouve évidemment les classiques : noms, prénoms, adresses postales, emails, numéros de téléphone. Mais aussi tout ce qui touche au véhicule : numéro de plaque d’immatriculation, marque, modèle, parfois le numéro de série, et surtout l’historique des contrôles techniques avec dates et résultats.
Certains fichiers circulaient en clair. Les mots de passe, quand ils étaient présents, apparaissaient hachés. Pas de données bancaires, Autosur l’a répété clairement, et c’est déjà une bonne nouvelle.
Le mélange est toxique. Avec une adresse et une immatriculation, un escroc peut construire un message très crédible. « Votre contrôle technique arrive à échéance, prenez rendez-vous ici » devient soudain beaucoup plus convaincant quand le lien arrive sur le téléphone de quelqu’un qui a effectivement une voiture chez Autosur. C’est du social engineering de qualité industrielle.
Quels risques concrets pour les clients un an plus tard
Les données ont été vendues, revendues, partagées. Elles circulent encore. Les risques ne s’arrêtent pas à un phishing basique. On parle d’usurpation d’identité, de tentatives d’extorsion, de fraudes à l’assurance qui exploitent l’historique des contrôles, ou même de repérage de véhicules potentiellement intéressants pour du vol ciblé.
Beaucoup de gens ont reçu des SMS ou des emails suspects depuis le printemps 2025 sans savoir s’ils venaient de cette fuite ou d’une autre. Le truc, c’est que les données volées permettent de personnaliser les attaques à un niveau rarement atteint. Un simple « bonjour Monsieur X, à propos de votre Peugeot 208 immatriculée AB-123-CD » suffit parfois à faire baisser la garde.
Que faire si vous pensez être concerné par la fuite de données Autosur
Si vous avez reçu un message officiel d’Autosur, c’est probablement légitime. L’entreprise a contacté ses clients. Sinon, vous pouvez vérifier votre email sur Have I Been Pwned : la brèche y est indexée. Vous pouvez aussi écrire à cyberinfo@autosur.com pour demander des précisions.
La première règle reste la même qu’après n’importe quelle fuite : ne cliquez sur aucun lien dans un message non sollicité qui parle de votre véhicule ou de contrôle technique. Allez directement sur le site autosur.fr ou appelez votre centre habituel.
Ensuite, c’est le moment de remettre de l’ordre dans vos accès. Changez les mots de passe importants, rendez-les uniques, activez l’authentification à deux facteurs partout où c’est possible. Un gestionnaire de mots de passe rend la vie beaucoup plus simple et évite les réutilisations dangereuses.
Si vous avez des doutes concrets (comptes qui bougent bizarrement, appels suspects, tentatives de connexion inhabituelles), le service public 17Cyber propose un diagnostic gratuit en ligne. C’est une ressource sérieuse et neutre, à utiliser sans hésiter.
Et oui, on peut porter plainte. L’entreprise l’a fait. Si vous subissez un préjudice direct — usurpation d’identité, préjudice financier avéré —, vous pouvez déposer plainte vous aussi auprès de la police ou signaler les faits à la CNIL. Ça ne ramènera pas vos données, mais ça alimente les enquêtes et peut aider d’autres victimes.
Ce que cette affaire révèle sur la protection des données dans l’automobile
Au fond, le cas Autosur illustre un problème plus large. Les centres de contrôle technique détiennent un combo de données particulièrement sensible : identité réelle + informations sur un bien de valeur + historique technique. C’est exactement le genre de profil que les cybercriminels adorent revendre ou exploiter.
Les entreprises ont l’obligation de sécuriser ces informations et de réagir vite en cas d’incident. Autosur l’a fait sur le papier : notification, plainte, renforcement des systèmes. Mais une fois les données dehors, le mal est fait. La meilleure protection pour les particuliers reste la vigilance permanente et une bonne hygiène numérique.
Si vous êtes passé chez Autosur ces dernières années, gardez simplement un œil un peu plus attentif sur vos boîtes mail et vos SMS. Les escrocs n’ont pas besoin de beaucoup d’imagination quand ils ont déjà la plaque et l’adresse. Et franchement, dans un contexte où ce type d’attaque se multiplie, un peu de paranoïa raisonnable ne fait pas de mal.
